Ang Botnet Malware na may Worm-Like Traits ay Naglalayon sa Popular Redis Storage Tool
Isang hindi kilalang grupo ng hacker ang naglunsad ng pag-atake gamit ang isang natatangi at kapansin-pansing strain ng malware na nagta-target sa mga deployment ng Redis na naa-access ng publiko. Ang Redis ay ang tanyag na pagpipilian ng mga pangunahing kumpanya tulad ng Amazon, Hulu at Tinder para sa pag-iimbak ng data. Ang pinakakapansin-pansing feature ng malware ay ang pag-uugaling parang worm nito, na nagbibigay-daan dito na mag-self-propagate o mag-replicate sa mga system nang walang interbensyon ng tao pagkatapos magkaroon ng access sa isang network, gaya ng na-highlight ng mga mananaliksik.
Kamakailan ay nakatagpo ang mga mananaliksik ng seguridad ng tungkol sa strain ng malware na tinatawag na " P2Pinfect ." Ang kapansin-pansing kakayahan nitong kusang kumalat at makahawa sa iba pang mga vulnerable na pag-deploy ng Redis ay nakakuha ng kanilang pansin. Ang pag-uugaling ito sa pagpapalaganap ng sarili ay naglalabas ng mga makabuluhang alalahanin dahil maaari nitong bigyang-daan ang malware na mapalawak ang abot at epekto nito nang mabilis. Sa kabila ng kanilang malawak na pagsisiyasat, hindi pa natukoy ng mga mananaliksik ang mga partikular na target ng mala-botnet na malware na ito, na iniiwan ang layunin sa likod ng pag-deploy nito na nababalot ng misteryo. Ang mga potensyal na epekto ng naturang advanced at autonomous na banta ay nagtaas ng mga pulang bandila sa komunidad ng cybersecurity, na ginagarantiyahan ang karagdagang pagsusuri at pagbabantay upang maprotektahan laban sa mga posibleng pag-atake.
Sinuri ng Unit 42 ng Palo Alto ang kampanya sa pag-hack, at ang kanilang ulat, na inilabas noong Hulyo 19, ay nagsiwalat ng paggamit ng malware sa CVE-2022-0543 upang i-commande ang mga application ng Redis at i-assimilate ang mga ito sa isang botnet. Binubuo ang botnet na ito ng koleksyon ng mga infected na computer sa ilalim ng kontrol ng hacker. Bagama't ang parehong kahinaan ay napapailalim sa nakaraang pagsasamantala upang i-assimilate ang mga device sa Muhstik botnet noong 2022 , ang pinakabagong malware, ang P2PInfect, ay lumilitaw na nauugnay sa isang natatanging malevolent network at hindi naka-link sa Muhstik, ayon sa mga natuklasan ng Unit 42.
Ang ulat ay umaayon sa karamihan sa mga natuklasan ng Unit 42, na nagpapakita na ang malware ay naka-code sa Rust programming language at nagtatangkang mahawahan ang iba pang mga host kapag nakakonekta na sa botnet.
Gayunpaman, natuklasan ang dalawang kapansin-pansing pagkakaiba. Una, hindi sinamantala ng sample ng malware na sinuri ng kanilang mga mananaliksik ang CVE-2022-0543 bilang paunang access point. Pangalawa, ang P2Pinfect ay naka-target sa parehong Windows at Linux Redis instance. Napansin nila na ang paggamit ng Rust programming language ay nagpapahintulot sa malware na gumana sa parehong mga platform ng Windows at Linux habang ginagawa itong hamon para sa mga analyst na suriin ang code. Ang layunin at pagkakakilanlan ng mga nasa likod ng malware ay nananatiling hindi malinaw. Bagama't ang mga nakompromisong sistema ay humihila ng "file ng minero," tila hindi ito nagsasagawa ng mga gawain sa pagmimina ng crypto. Ang "miner" na ito ay maaaring magsilbing placeholder para sa hinaharap na pamamahagi ng crypto-mining ng threat actor. Katulad nito, napansin ng Unit 42 ang mga pagkakataon ng salitang "miner" sa nagbabantang toolkit ng P2PInfect ngunit hindi nakahanap ng tiyak na ebidensya ng mga operasyon ng crypto-mining.
Ang malware ay may dalawang-tiklop na layunin. Una, pinapayagan nito ang mga hacker na protektahan ang server ng Redis mula sa iba pang mga banta na nagtatangkang ikompromiso ito habang tinitiyak na ang server ay patuloy na gumagana nang lehitimong, kaya iniiwasan ang pagtuklas ng mga may-ari nito. Kapag nahawahan, ang nakompromisong server ay nagiging bahagi ng isang peer-to-peer na botnet. Ang pagsasaayos na ito ay nagbibigay-daan sa tuluy-tuloy na komunikasyon sa pagitan ng lahat ng botnet node nang hindi nangangailangan ng isang sentralisadong Ccommand-and-Control (C2) server. Iminumungkahi ng mga mananaliksik na ang mga utos ay ilalabas sa pamamagitan ng pagpapadala ng mga nilagdaang mensahe sa buong network. Ang malware ay nagta-target ng mga karagdagang host para palaganapin ang impeksyon sa pamamagitan ng pangangalap ng listahan ng mga user, IP address, at access key para sa protocol ng komunikasyon sa network ng SSH. Kapag ang isang bagong host ay nakakuha ng access, ang malware ay ginagaya ang sarili nito tulad ng una nitong nahawahan ang nakompromisong server. Iyon ay nagsasangkot ng pagkuha ng isang kopya ng sarili nito mula sa built-in na HTTP server at pagsasagawa nito gamit ang isang listahan ng node bilang isang argumento, at sa gayon ay pinalawak ang abot nito sa iba pang mga masusugatan na sistema.
Ang Botnet Malware na may Worm-Like Traits ay Naglalayon sa Popular Redis Storage Tool Mga screenshot
